HOOK集合----SSDTDPC Hook(X86 win7)

最新推荐文章于 2022-10-17 10:41:07 发布
最新推荐文章于 2022-10-17 10:41:07 发布
阅读量180 收藏
点赞数
分类专栏: Hook集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/105782510
版权

介绍:

  SSDT DPC Hook 其实是建立在SSDT Hook的基础上的,建立一个定时器,然后设置触发时间,反复去 SSDT Hook,这样会使直接进行SSDT UnHook的无法恢复,在学习过程中,算不上是一种全新的Hook,算是SSDT Hook 的一种升级版。

 

(一)

     ⚪建立定时器,定时回调函数为SSDTHook 函数,反复Hook。

     ⚪首先找到全局导出的KeServiceDescriptorTable。

     ⚪然后从ntdll.dll的导出表中获取ZwOpenProcess函数地址。

     ⚪从ZwOpenProcess中获取序号。

     ⚪将SSDT所在页属性改为可读可写的状态。

     ⚪将自己写好的Fake函数地址替换进去即可。

 

(二)

SSDTHook 代码可以看之前的文章,有详细的介绍。

 

NTSTATUS DPC_SSDTHook(BOOLEAN IsOk);
VOID DelayProcedureCall
(
    _In_ struct _KPDC *DPC,
    _In_opt_ PVOID  DeferredCpntext,
    _In_opt_ PVOID  SystemArgument1,
    _In_opt_ PVOID  SystemArgument2
);



KTIMER __Timer =  { 0 };
LARGE_INTEGER __Interval = { 0 };
KDPC __DPC = {0};
NTSTATUS DPC_SSDTHook(BOOLEAN IsOk)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    if (IsOk)
    {
        Status = SSDTHook(IsOk);
        //初始化时钟
        KeInitializeTimer(&__Timer);
        //构建DPC 
        KeInitializeDpc(&__DPC, (PKDEFERRED_ROUTINE)DelayProcedureCall, NULL);
        __Interval = RtlConvertLongToLargeInteger(1000000 * -10);
        //设置时钟
        KeSetTimer(&__Timer, __Interval, &__DPC);
    }
    else
    {
        KeCancelTimer(&__Timer);
        Status = SSDTHook(IsOk);
    }
    return Status;
}


VOID DelayProcedureCall
(
    _In_ struct _KPDC *Dpc,
    _In_opt_ PVOID  DeferredCpntext,
    _In_opt_ PVOID  SystemArgument1,
    _In_opt_ PVOID  SystemArgument2
)
{
    SSDTHook(TRUE);
    KeSetTimer(&__Timer, __Interval, Dpc);

}

 

`Nobody
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
多CPU下安全inline hook
埋vizee的墓
11-22 1020
去師父神牛的空間里看了下關於内核安全inline hook的討論,感覺受益匪淺,查閲資料后,得知了一種CPU中較爲安全的安裝鈎子的方法。 該代碼來自《Rootkits:Subverting the Windows Kernel》一書,原理是通過向所有非當前的CPU插入DPC,並且在DPC例程中實現忙等待,這是一種比較可愛的方法(PS:雖然我還是糾結于,如果其他CPU當前就已經在執行DPC那不是情
多核发dpc安全inline hook
kedebug
12-22 1808
VOID OpSafeInlineHook(PVOID TargetAddress, PVOID ReadyOpCode, ULONG OpCodeLength) { PMDL MdlFuncAddress; ASSERT(TargetAddress && ReadyOpCode && OpCodeLength); if (ScmMapVirtualAddress(T
HOOK集合----SSDTDPC Hook Anti(X86 win7)
qq_42021840的博客
05-09 395
介绍: 前几天写过一篇SSDT DPC Hook的文章,最近才想起来写一下如何来对抗SSDT DPC Hook,所以有了这篇文章,其实对抗原理也很简单,就是检测出来目标驱动创建的DPC,移除掉,然后进行普通的SSDT Hook 就可以了。 (一) ⚪获取目标驱动信息(模块基址和大小) ⚪获取DPC信息 判断目标驱动创建出的DPC ⚪移除DPC、销毁时钟 ⚪卸载SSDT Hook (二) #pragma once #include<fltKernel.h> #...
浅谈DPCHookSSDT和RemoveDPC
weixin_33772645的博客
04-19 298
  最近学了DPC这一对,把Win7 32位和64位都做了,查阅了大量的资料,并且进行了大量调试,理一下思路,为了后面更好的学习。   转载请注明出处:http://www.cnblogs.com/littlepear/p/6733145.html  1. 当我们需要定时的完成某项任务时,就需要注册一个DPC定时器了,在Ring3中, CTimer类中有一个SetTimer()函数,对...
X-Gorgon hook插件
03-03
使用xposed hook X-Gorgon加密参数以及开放接口,安装即可使用,端口8709,使用版本8.2
react-hook-layout:React中的布局管理
05-01
import { defineSlots , useLayout } from "react-hook-layout" ; const Page = ( ) => { const { Content , Footer , Header , SidebarLeft , SidebarRight } = defineSlots ( "Content" , "Footer" , "Header...
react-hook-with-redux-hooks
05-04
用Redux HooksReactHook 该项目是一种研究形式,它使用了当今就业... 注意:要进行项目工作,需要使用此提供的api节点通过创建React App 通过Redux用于状态管理等,作者: Redux DevTools通过入门# clone it git clone ...
react-hooks:React Hook集合
08-04
React钩子React Hooks 的集合。tl;博士通过执行npm install @wojtekmaj/react-hooks或yarn add @wojtekmaj/react-hooks 。 通过添加import { useTick } from '@wojtekmaj/react-hooks'来import { useTick } from '@...
nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
教程之DSD补丁篇 | 7分钟教你优雅定制最关键的OC补丁(clover通用)
Z17362251225的博客
06-26 4583
教程之DSD补丁篇 | 7分钟教你优雅定制最关键的OC补丁(clover通用)
OpenCore 黑苹果安装教程
热门推荐
Copcin的小站
06-26 5万+
前几天看到有人在 Windows PC 上吃上了 macOS,于是在一台赛扬百元笔记本上开始折腾。 俗话说一入黑果深似海,个人花了一个月的时间,爬了几万个帖子 or 教程 or 博客,最后还是没有成功(原因后文有)。 虽然折腾的结果不尽人意,但从中学到了很多芝士~ 在这里把 OpenCore 黑苹果的一整个流程和踩坑排错的过程整理起来,供大家使用~目录1. 原理2. 准备2.1 先决条件2.2 硬件要求2.3 了解电脑的硬件3. 配置 EFI3.1 下载必要工具3.2 .efi 驱动3.3 Kext 驱动3
常见的acpi和用法
Z17362251225的博客
10-15 3760
常见的acpi和用法
windows内核情景分析 --- DPC
maomao171314的专栏
04-04 3769
DPC不同APC,DPC的全名是‘延迟过程调用’。 DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不能消耗过多时间,否则会导致系统丢失大量其他中断。但是有的中断,其中断服务例程要做的事情本来就很多,那怎么办?于是,可以在中断服务例程中先执行最紧迫的那部分工作,然后把剩余的相对来说不那么重要的工作移入到D
【Hackintosh】完善篇之添加节能5项与添加SMBU/SBUS
qq_38676663的博客
07-23 1289
通常,我们在安装黑苹果后,由于不是原生硬件驱动,在系统上会有各种功能的缺失,例如节能功能的缺失,某些部件未添加导致原生功能的缺失等。
Windows server 2016 安装补丁报错 - The update is not applicable to your computer & Error:0x800f0823
weixin_44309584的博客
09-22 5741
技术问题描述: 安装KB4571694 & KB4577015 或其它补丁都报错 问题出现环境(软件/硬件): Window2016 Standard 64-bit Operating System, x64-based processor 问题重现步骤: 重现1:下载补丁包-> 双击补丁包 重现2:下载补丁包-> 解压补丁包->用命令运行补丁包 dism /online /add-package /packagepath:"X:\路径\文件名.cab" ...
OC.Gen-X:一键生成黑苹果 OpenCore EFI 引导文件
最新发布
Z17362251225的博客
10-17 4366
OC.Gen-X:一键生成黑苹果 OpenCore EFI 引导文件
Windows内核驱动Hook入门
随心动,随风行
07-16 7598
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
AlphaWire连接线:适合各种应用的全方位Hook-Up Wire
"Hook-Up Wire /AL_1998_HUWbro_web" Hook-Up Wire是一种广泛应用于各种电气连接的电线,它具有多种特性和用途,适用于不同的环境和应用需求。这种电线通常由AlphaWire这样的专业制造商提供,确保了高质量和适用性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值